部署 Secure Web Proxy 執行個體

本快速入門指南說明如何部署及測試 Secure Web Proxy 執行個體。

事前準備

  1. 完成初始設定步驟

  2. 選用:如要執行本指南中指定的 gcloud 指令列範例,請在下列任一開發環境中安裝 Google Cloud CLI

    Cloud Shell

    如要使用已設定 gcloud CLI 的線上終端機,請啟用 Cloud Shell:

    這個頁面結尾處會啟動 Cloud Shell 工作階段,並顯示指令列提示。工作階段可能要幾秒鐘的時間才能初始化。

    本機殼層

    如要使用本機開發環境,請按照下列步驟操作:

    1. 安裝 gcloud CLI
    2. 初始化 gcloud CLI

  3. 建立或選取 Google Cloud 專案。

    控制台

    在 Google Cloud 控制台的專案選擇器頁面中,選取或建立 Google Cloud 專案

    前往專案選取器

    Cloud Shell

    • 建立 Google Cloud 專案:

      gcloud projects create PROJECT_ID

      PROJECT_ID 替換為所需的專案 ID。

    • 選取您建立的 Google Cloud 專案:

      gcloud config set project PROJECT_ID

  4. 建立 Linux 虛擬機器 (VM) 執行個體。

    gcloud compute instances create swp-test-vm \
    --subnet=default \
    --zone=ZONE \
    --image-project=debian-cloud \
    --image-family=debian-11

    Compute Engine 會將 Compute 執行個體管理員角色 (roles/compute.instanceAdmin) 授予建立 VM 的使用者。Compute Engine 也會將該使用者加入 sudo 群組。

  5. 建立防火牆規則。

    gcloud compute firewall-rules create default-allow-ssh \
    --direction=INGRESS \
    --priority=1000 \
    --network=default \
    --action=ALLOW \
    --rules=tcp:22 \
    --source-ranges=0.0.0.0/0

建立 Secure Web Proxy 政策

控制台

  1. 在 Google Cloud 控制台中,前往「SWP Policies」頁面。

    前往「SWP 政策」

  2. 按一下「建立政策」

  3. 輸入要建立的政策名稱,例如 myswppolicy

  4. 輸入政策的說明,例如 My new swp policy

  5. 在「區域」清單中,選取要建立網頁 Proxy 政策的區域。

  6. 如要為政策建立規則,請按一下「新增規則」。詳情請參閱「建立 Secure Web Proxy 規則」一節。

  7. 按一下 [建立]。

Cloud Shell

  1. 建立 policy.yaml 檔案。

      description: basic Secure Web Proxy policy
  name: projects/PROJECT_ID/locations/REGION/gatewaySecurityPolicies/policy1

  2. 建立 Secure Web Proxy 政策。

    gcloud network-security gateway-security-policies import policy1 \
    --source=policy.yaml \
    --location=REGION

建立 Secure Web Proxy 規則

主控台

  1. 在 Google Cloud 控制台中,前往「SWP Policies」頁面。

    前往「SWP 政策」

  2. 按一下政策名稱。

  3. 按一下「新增規則」

  4. 填入下列規則欄位:

    1. 名稱
    2. 說明
    3. 狀態
    4. 優先順序:規則的數值評估順序。系統會依優先順序由高至低評估規則,其中 0 為最高優先順序。
    5. 在「動作」專區中,指定要允許 (「允許」) 或拒絕 (「拒絕」) 符合規則的連線。
    6. 在「工作階段比對」部分,指定比對工作階段的條件。如要進一步瞭解 SessionMatcher 的語法,請參閱 CEL 比對器語言參考資料
    7. 選用:如要啟用 TLS 檢查功能,請選取「Enable TLS inspection」(啟用 TLS 檢查)
    8. 在「應用程式比對」部分,指定比對要求的條件。如未啟用 TLS 檢查規則,要求只能比對 HTTP 流量。
    9. 按一下 [建立]。

  5. 按一下「新增規則」即可新增其他規則。

Cloud Shell

  1. 建立 rule.yaml 檔案,如下所示。

    ```yaml
name: projects/PROJECT_ID/locations/REGION/gatewaySecurityPolicies/policy1/rules/allow-wikipedia-org
description: Allow wikipedia.org
enabled: true
priority: 1
basicProfile: ALLOW
sessionMatcher: host() == 'wikipedia.org'
```

    • 選用:如果您想使用 TLS 檢查設定建立規則,請按照下列步驟建立 rule.yaml 檔案。

      ```yaml
name: projects/PROJECT_ID/locations/REGION/gatewaySecurityPolicies/policy1/rules/allow-wikipedia-org
description: Allow wikipedia.org
enabled: true
priority: 1
basicProfile: ALLOW
sessionMatcher: host() == 'wikipedia.org'
applicationMatcher: request.path.contains('index.html')
tlsInspectionEnabled: true

  2. 建立安全性政策規則。

    gcloud network-security gateway-security-policies rules import allow-wikipedia-org \
    --source=rule.yaml \
    --location=REGION \
    --gateway-security-policy=policy1

設定網路 Proxy

本節說明如何將 Secure Web Proxy 部署為明確 Proxy

或者,您也可以將 Secure Web Proxy 部署為 Private Service Connect 服務附件下一個躍點

主控台

  1. 前往 Google Cloud 控制台的「Web Proxies」頁面。

    前往「網路 Proxy」

  2. 按一下「建立安全無虞的網路 Proxy」

  3. 輸入要建立的網路 Proxy 名稱,例如 myswp

  4. 輸入網頁 Proxy 的說明,例如 My new swp

  5. 針對「Routing mode」(轉送模式),請選取「Explicit」(明確)選項。

  6. 在「區域」清單中,選取要建立網路 Proxy 的區域。

  7. 在「Network」清單中,選取要建立網路 Proxy 的網路。

  8. 在「Subnetwork」(子網路) 清單中,選取要建立網路 Proxy 的子網路。

  9. 輸入網路 Proxy IP 位址。

  10. 在「憑證」清單中,選取要用來建立網路 Proxy 的憑證。

  11. 在「Policy」清單中,選取您建立的政策,以便與網路 Proxy 建立關聯。

  12. 按一下 [建立]。

Cloud Shell

  1. 建立 gateway.yaml 檔案。

    name: projects/PROJECT_ID/locations/REGION/gateways/swp1
type: SECURE_WEB_GATEWAY
addresses: ["IP_ADDRESS"]
ports: [443]
gatewaySecurityPolicy: projects/PROJECT_ID/locations/REGION/gatewaySecurityPolicies/policy1
network: projects/PROJECT_ID/global/networks/NETWORK
subnetwork: projects/PROJECT_ID/regions/REGION/subnetworks/SUBNETWORK
routingMode: EXPLICIT_ROUTING_MODE

  2. 建立 Secure Web Proxy 執行個體。

    gcloud network-services gateways import swp1 \
    --source=gateway.yaml \
    --location=REGION

    部署 Secure Web Proxy 執行個體可能需要幾分鐘的時間。

測試連線能力

  1. 連線至先前佈建的 VM。

    gcloud compute ssh swp-test-vm \
    --zone=ZONE

  2. 測試 Secure Web Proxy 執行個體。

    curl -x IP_ADDRESS

清除所用資源

如要避免系統向您的 Google Cloud 帳戶收取您在本頁所用資源的費用,請按照下列步驟操作。

刪除 swp1 Secure Web Proxy 執行個體

主控台

  1. 前往 Google Cloud 控制台的「Web Proxies」頁面。您可以查看所有網頁 Proxy 的清單,也可以只查看特定網路中可用的網頁 Proxy。

    前往「網路 Proxy」

  2. 選取要刪除的網路 Proxy。

  3. 點選「刪除」。

  4. 再按一下 [刪除] 加以確認。

Cloud Shell 

gcloud network-services gateways delete swp1 \
    --location=REGION

刪除 allow-wikipedia-org 規則

主控台

  1. 前往 Google Cloud 控制台的「Web Proxies」頁面。您可以查看所有網頁 Proxy 的清單,也可以只查看特定網路中可用的網頁 Proxy。

    前往「網路 Proxy」

  2. 按一下所需政策。

  3. 選取要刪除的規則。

  4. 點選「刪除」。

  5. 再按一下 [刪除] 加以確認。

Cloud Shell 

gcloud network-security gateway-security-policies rules delete allow-wikipedia-org \
    --location=REGION \
    --gateway-security-policy=policy1

刪除 policy1 Secure Web Proxy 政策

主控台

  1. 前往 Google Cloud 控制台的「Web Proxies」頁面。您可以查看所有網頁 Proxy 的清單,也可以只查看特定網路中可用的網頁 Proxy。

    前往「網路 Proxy」

  2. 選取要刪除的政策。

  3. 點選「刪除」。

  4. 再按一下 [刪除] 加以確認。

Cloud Shell 

gcloud network-security gateway-security-policies delete policy1 \
    --location=REGION

刪除 swp-test-vm Linux VM 執行個體

主控台

  1. 前往 Google Cloud 控制台的「VM instances」(VM 執行個體) 頁面

    前往 VM 執行個體

  2. 選取要刪除的執行個體。

  3. 點選「刪除」。

Cloud Shell 

gcloud compute instances delete swp-test-vm

後續步驟